🌟 Atualização imperdível para quem gosta de estar bem informado!
A notícia que você procurava está aqui!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Um botnet de malware anteriormente não documentado chamado AryStinger comprometeu mais de 4.000 roteadores desatualizados para transformá-los em proxies para tráfego malicioso.
Pesquisadores da equipe de inteligência de ameaças XLab da Qianxin dizem que o malware converte dispositivos infectados em “executores” controlados remotamente que podem realizar varredura, proxy, tunelamento, execução de comandos e outras atividades em nome do invasor.
“O invasor pode dividir uma tarefa de varredura massiva em vários pequenos pedaços e distribuí-los para diferentes executores para execução paralela”, observam os pesquisadores do XLab.
“Com esse design distribuído, o invasor pode concluir com eficiência as atividades iniciais de “pegada”, proporcionando assim uma forte garantia de suavidade e taxa de sucesso das operações de intrusão subsequentes.”
Além de usar roteadores comprometidos como trampolim para operações maliciosas, o XLab alerta que o malware também pode adulterar as configurações de DNS, sequestrando a navegação do usuário e monitorando silenciosamente e potencialmente roubando todo o tráfego de entrada e saída da rede.
Servidor distribuindo trabalhos de varredura AryStingerFonte: XLab
AryStinger explora falhas mais antigas, como CVE-2013-3307, CVE-2016-5681 e CVE-2025-11837, visando principalmente roteadores D-Link DIR-850L, D-Link DIR-818LW.
Os dois modelos de roteador foram anteriormente alvo do botnet de malware AVrecon que o provedor de serviços de comunicação Lumen, Lumen, interrompeu em 2023.
Os dados de telemetria da Qianxin mostram que quase metade de todas as infecções estão localizadas na Coreia do Sul (48,5%), seguida pela China (31,8%), Suécia (6,4%), Malásia (3,5%) e Singapura (2,5%).
Os pesquisadores do XLab encontraram duas variantes do malware AryStinger: uma versão baseada em C, voltada principalmente para roteadores desatualizados, e uma versão baseada em Go, focada em sistemas NAS, mas atualmente com um alcance muito mais limitado.
Roteador infectado estabelecendo comunicação C2Fonte: XLab
A versão NAS é a mais avançada das duas, apresentando recursos adicionais como varredura de IP e DNS, execução de comandos, execução de carga útil e reconhecimento de rede interna por meio da integração de ferramentas de teste de penetração de código aberto.
Os pesquisadores observaram que a infraestrutura distribuída de varredura de DNS do AryStinger poderia ser potencialmente reaproveitada para gerar grandes volumes de consultas de DNS contra resolvedores, embora não tenham observado nenhum desses ataques.
Em relação aos recursos de execução de código da versão NAS, o XLab afirma que há suporte para comandos Shell, bem como código-fonte Go, Java e Python.
No entanto, existem algumas limitações no uso de código-fonte em vez de binários compilados, pois a compilação requer tempos de execução da linguagem no host e o processo como um todo introduz ruído que pode quebrar o sigilo.
Os pesquisadores não atribuíram o AryStinger a nenhum cluster de atividade conhecido, afirmando que “muitos mistérios em torno do AryStinger ainda precisam ser resolvidos”.
Os proprietários de roteadores em fim de vida (EoL) devem substituí-los por modelos novos e com suporte ativo, aplicar as atualizações de firmware mais recentes disponíveis, alterar a senha padrão da conta do administrador e desativar os painéis de gerenciamento remoto.
Teste todas as camadas antes que os invasores o façam
As equipes de segurança registram 54% dos ataques bem-sucedidos e alertam sobre apenas 14%. O restante se move pelo seu ambiente sem ser visto. O whitepaper do Picus mostra como a simulação de violação e ataque testa suas regras de SIEM e EDR para que as ameaças parem de escapar da detecção.
Obtenha o white paper
Pesquisadores da equipe de inteligência de ameaças XLab da Qianxin dizem que o malware converte dispositivos infectados em “executores” controlados remotamente que podem realizar varredura, proxy, tunelamento, execução de comandos e outras atividades em nome do invasor.
“O invasor pode dividir uma tarefa de varredura massiva em vários pequenos pedaços e distribuí-los para diferentes executores para execução paralela”, observam os pesquisadores do XLab.
“Com esse design distribuído, o invasor pode concluir com eficiência as atividades iniciais de “pegada”, proporcionando assim uma forte garantia de suavidade e taxa de sucesso das operações de intrusão subsequentes.”
Além de usar roteadores comprometidos como trampolim para operações maliciosas, o XLab alerta que o malware também pode adulterar as configurações de DNS, sequestrando a navegação do usuário e monitorando silenciosamente e potencialmente roubando todo o tráfego de entrada e saída da rede.
Servidor distribuindo trabalhos de varredura AryStingerFonte: XLab
AryStinger explora falhas mais antigas, como CVE-2013-3307, CVE-2016-5681 e CVE-2025-11837, visando principalmente roteadores D-Link DIR-850L, D-Link DIR-818LW.
Os dois modelos de roteador foram anteriormente alvo do botnet de malware AVrecon que o provedor de serviços de comunicação Lumen, Lumen, interrompeu em 2023.
Os dados de telemetria da Qianxin mostram que quase metade de todas as infecções estão localizadas na Coreia do Sul (48,5%), seguida pela China (31,8%), Suécia (6,4%), Malásia (3,5%) e Singapura (2,5%).
Os pesquisadores do XLab encontraram duas variantes do malware AryStinger: uma versão baseada em C, voltada principalmente para roteadores desatualizados, e uma versão baseada em Go, focada em sistemas NAS, mas atualmente com um alcance muito mais limitado.
Roteador infectado estabelecendo comunicação C2Fonte: XLab
A versão NAS é a mais avançada das duas, apresentando recursos adicionais como varredura de IP e DNS, execução de comandos, execução de carga útil e reconhecimento de rede interna por meio da integração de ferramentas de teste de penetração de código aberto.
Os pesquisadores observaram que a infraestrutura distribuída de varredura de DNS do AryStinger poderia ser potencialmente reaproveitada para gerar grandes volumes de consultas de DNS contra resolvedores, embora não tenham observado nenhum desses ataques.
Em relação aos recursos de execução de código da versão NAS, o XLab afirma que há suporte para comandos Shell, bem como código-fonte Go, Java e Python.
No entanto, existem algumas limitações no uso de código-fonte em vez de binários compilados, pois a compilação requer tempos de execução da linguagem no host e o processo como um todo introduz ruído que pode quebrar o sigilo.
Os pesquisadores não atribuíram o AryStinger a nenhum cluster de atividade conhecido, afirmando que “muitos mistérios em torno do AryStinger ainda precisam ser resolvidos”.
Os proprietários de roteadores em fim de vida (EoL) devem substituí-los por modelos novos e com suporte ativo, aplicar as atualizações de firmware mais recentes disponíveis, alterar a senha padrão da conta do administrador e desativar os painéis de gerenciamento remoto.
Teste todas as camadas antes que os invasores o façam
As equipes de segurança registram 54% dos ataques bem-sucedidos e alertam sobre apenas 14%. O restante se move pelo seu ambiente sem ser visto. O whitepaper do Picus mostra como a simulação de violação e ataque testa suas regras de SIEM e EDR para que as ameaças parem de escapar da detecção.
Obtenha o white paper
#samirnews #samir #news #boletimtec #o #botnet #arystinger #infectou #milhares #de #roteadores #dlink #em #todo #o #mundo
💡 Compartilhe e ajude nosso projeto a crescer!
Postar um comentário